Microsoft Internet Explorer bis 6 HTTP JavaScript execCommand() Dateiendung vortäuschen
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. cyber flash publizierte zeitgleich zwei mittelschwere Schwachstellen im Microsoft Internet Explorer bis 6, die sich dazu nutzen lassen, um die neuen Sicherheits-Features des Service Pack 2 für Microsoft Windows XP zu umgehen. Eine davon betrifft die JavaScript-Funktion execCommand(), mit der Dateiendungen vorgetäuscht werden können. Als Workaround wird empfohlen, den Download ausführbarer Dateien aus dem Internet zu verhindern (beispielsweise mittels Firewalling auf bekannte Dateierweiterungen). Zudem gilt es Active Scripting zu deaktivieren. Microsoft wird voraussichtlich mit einem Patch für das Problem reagieren. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (18181) dokumentiert. Heise diskutiert den Sachverhalt in deutscher Sprache. Schwachstellen ähnlicher Art sind dokumentiert unter 994.
Der Microsoft Internet Explorer ist einmal mehr unter heftigem Beschuss. Gleich mehrere nicht unkritische Schwachstellen haben den Weg in die Öffentlichkeit gefunden. Dies ist beste Werbung für den jüngst in der Version 1.0 erschienenen Webbrowser Mozilla Firefox. Der Internet Explorer ist somit zunehmends auf dem absteigenden Ast, was Microsoft sich selber zuzuschreiben hat.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Patch: windowsupdate.microsoft.com
Timeline
16.11.2004 🔍16.11.2004 🔍
17.11.2004 🔍
18.11.2004 🔍
06.01.2005 🔍
07.06.2017 🔍
Quellen
Hersteller: microsoft.comAdvisory: archives.neohapsis.com
Person: cyber flash
Status: Nicht definiert
CVE: CVE-2004-1331 (🔍)
X-Force: 18181 - Microsoft Internet Explorer execCommand bypass download warnings
SecurityFocus: 11686 - Microsoft Internet Explorer File Download Security Warning Bypass Vulnerability
Secunia: 13203 - Microsoft Internet Explorer Two Vulnerabilities, Moderately Critical
Heise: 53382
Siehe auch: 🔍
Eintrag
Erstellt: 18.11.2004 13:17Aktualisierung: 07.06.2017 16:04
Anpassungen: 18.11.2004 13:17 (67), 07.06.2017 16:04 (5)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.